¿Por qué alguien cargaría muchos archivos de iptables durante una violación de seguridad y son motivo de preocupación?

2

Mi lugar de trabajo tuvo varios fallos de seguridad de acceso no autorizados durante el último mes. Desde entonces, la mayoría de las computadoras han sido borradas y las cuentas de usuario eliminadas. Los datos se recuperaron de las copias de seguridad externas y, aparentemente, los orificios se han tapado.

No lo soy y no estoy completamente familiarizado con lo que sucedió, pero desde que se despidió a todo el equipo de seguridad, los rumores dicen que fue un simple ataque de inyección SQL. No tengo claro cuánto acceso obtuvieron. Nuestros sistemas son una combinación de Windows 7 / RHEL 6.7 / BOSS 6.0

Ahora, después de la restauración, encuentro que se han agregado varios cientos de archivos de iptables a mi almacenamiento de usuario. Fueron agregados el mes pasado durante la violación y TI me dijo que no son motivo de preocupación y que no harán ningún daño. Además, nunca he accedido a ningún sitio personal desde esas máquinas y todas las contraseñas y datos biométricos se han restablecido.

Aquí está el contenido de solo uno de los archivos: enlace

Mi pregunta es ¿por qué alguien haría esto y debería preocuparme?

    
pregunta RaunakS 28.04.2016 - 17:29
fuente

1 respuesta

2

Obviamente, cambiaron las reglas para detener a los hackers

Cadena DENYIN el único propósito es una lista negra de direcciones IP. Obviamente, esta lista se derivó de los archivos de registro como las fuentes del ataque.

NEGRA Cadena Claramente está destinado a registrar y eliminar conexiones salientes a la lista de direcciones IP atacantes. En caso de que todavía estén en el sistema.

Cadena NO VÁLIDA Es para paquetes que no deberían ocurrir en su red.

Las reglas se ven bien, pero como dijiste, esto es solo una parte de tus reglas. Un pirata informático no establecería reglas para bloquearse, ya que eso es contraproducente.

Quien haya escrito estas reglas sabe algo sobre seguridad. Sin embargo, deberían usar ipset en combinación con tablas IP para mejorar la eficiencia, ya que las reglas de iptables excesivas utilizan ciclos de CPU adicionales. Sin embargo, eran lo suficientemente inteligentes como para dividir el tráfico en cadenas para al menos hacer un poco más fácil para ellos mismos.

Sin embargo, con una política de INPUT de caída, y hacer que la última regla en INPUT se caiga solo en caso de que muchas de las otras caídas no sean necesarias. Excepto las últimas 3 líneas de registro, TODO LOGDROPIN es redundante (538-555).

El hecho de que no haya subredes como (/ 30) o cualquier otra cosa facilitaría a un pirata informático hacer +1 en su dirección IP y es posible volver a ingresar. Es posible que algunos IP no puedan enmascarar la máscara de subred, pero muchos de ellos pueden. Si resulta que utilizaron Amazon, Google, Microsoft Cloud Server, no puede bloquear todo Amazon, Google, Microsoft no tiene sentido.

No estoy auditando TODAS tus reglas porque no me pagan, sin embargo, te he dado una buena información general. No publique todas sus reglas, para mí de todos modos, no estoy haciendo una auditoría gratuita de todo su sistema.

    
respondido por el cybernard 01.05.2016 - 22:13
fuente

Lea otras preguntas en las etiquetas